Escolar Documentos
Profissional Documentos
Cultura Documentos
Netzahualcyotl
AUDITORIA DE SISTEMAS EN TI
Auditoria de Sistemas TI
Contenido
Auditoria de Sistemas TI
Auditoria de Sistemas TI
1.1 Auditoria de la Funcin Informtica
1.1.1 Definir conceptos de Auditoria y Auditoria Informtica
Auditoria: Es la revisin y examen de una funcin, cifra, proceso o reporte, efectuados por personal
independiente a la operacin, para apoyar la funcin ejecutiva.
La Auditoria de tecnologas de informacin (T.I.), como se le conoce actualmente, (Auditoria informtica
o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de
los ltimos 10 aos. En algunos pases altamente desarrollados es catalogada como una actividad de
apoyo vital para el mantenimiento de la infraestructura crtica de una nacin, tanto en el sector pblico
como privado, en la medida en que la informacin es considerada un activo tan o ms importante que
cualquier otro en una organizacin. Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas
prcticas dedicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la informacin tratada y almacenada a travs del computador y equipos afines, as como
de la eficiencia, eficacia y economa con que la administracin de un ente estn manejando dicha
INFORMACION y todos los recursos fsicos y humanos asociados para su adquisicin, captura,
procesamiento, transmisin, distribucin, uso y almacenamiento. Todo lo anterior con el objetivo de emitir
una opinin o juicio, para lo cual se aplican tcnicas de auditora de general aceptacin y conocimiento
tcnico especfico.
Auditoria de Sistemas TI
Los terminales.
Los servicios.
Ejemplos de tic
Las redes
Telefona fija
Banda ancha
Telefona mvil
Redes de televisin
Redes en el hogar
Los terminales
Ordenador personal
Navegador de Internet
Sistemas operativos para ordenadores
Telfono mvil
Televisor
Reproductores porttiles de audio y vdeo
Consolas de juego
1.2 Polticas
Organizacin)
de
la
Organizacin
(Reglas
de
la
Los Manuales representan una gua prctica que se utiliza como herramienta de soporte para la
organizacin y comunicacin, que contiene informacin ordenada y sistemtica, en la cual se establecen
claramente los objetivos, normas, polticas y procedimientos de la empresa, lo que hace que sean de
mucha utilidad para lograr una eficiente administracin. Son considerados uno de los elementos ms
eficaces para la toma de decisiones en la administracin, ya que facilitan el aprendizaje y proporcionan la
orientacin precisa que requiere la accin humana en cada una de las unidades administrativas que
conforman a la empresa, fundamentalmente a nivel operativo o de ejecucin, pues son una fuente de
Auditoria de Sistemas TI
informacin que trata de orientar y mejorar los esfuerzos de sus integrantes para lograr la adecuada
realizacin de las actividades que se le han encomendado.
Construye una base para el anlisis posterior del trabajo y el mejoramiento de los sistemas,
procedimientos y mtodos
Instrumento administrativo que contiene en forma explcita, ordenada y sistemtica informacin sobre
objetivos, polticas, procedimientos etc.
Auditoria de Sistemas TI
1.3.3 Describir los tipos de manuales de la organizacin y sus
apartados
Tipos de Manuales:
Manual de Organizacin
Describe la Organizacin Formal de la Empresa consignando:
Misiones: enunciacin sinttica del objetivo que persigue el rea de la Organizacin.
Funciones Bsicas de la Autoridad: Quienes dependen de l y l de quien depende
Responsabilidad Caractersticas y Especificaciones de la Posicin.
Manual de Procedimientos.
Describe en detalle las operaciones que integran los procedimientos administrativos en orden
secuencial de su ejecucin y las normas a cumplir por los miembros de la organizacin
compatibles con dichos procedimientos.
La estructura de un Manual de Procedimientos debe contemplar: Cartula de Presentacin:
indicando Tema, N de Procedimiento, Vigencia, reas afectadas y Analista Actuante.
Objetivos y Alcance Instrucciones acerca de codificaciones utilizadas o de la forma de
actualizacin.
Manual del Puesto de Trabajo.
Describe en forma pormenorizada la intervencin que le corresponde a la posicin en cada uno de
los procedimientos en los que le toca intervenir. El Cmo, el Porqu y el Para Qu.
Su contenido debe responder a la siguiente estructura:
Objetivos.
Funciones del Sector.
Descripcin de Procedimientos.
Tareas a realizar.
Instrucciones.
Responsabilidad
Se denomina recursos humanos al trabajo que aporta el conjunto de los empleados o colaboradores de
una organizacin. Pero lo ms frecuente es llamar as a la funcin que se ocupa de seleccionar, contratar,
formar, emplear y retener a los colaboradores de la organizacin. Estas tareas las puede desempear una
persona o departamento en concreto (los profesionales en Recursos Humanos) junto a los directivos de la
organizacin.
Auditoria de Sistemas TI
El capital humano es un trmino usado en ciertas teoras econmicas del crecimiento para designar a un
hipottico factor de produccin dependiente no slo de la cantidad, sino tambin de la calidad del grado de
formacin y productividad de las personas involucradas en un proceso productivo.
A partir de ese uso inicialmente tcnico, se ha extendido para designar el conjunto de recursos
humanos que posee una empresa o institucin econmica. Igualmente se habla de modo informal de
mejora en el capital humano cuando aumenta el grado de destreza, experiencia o formacin de las
personas de dicha institucin econmica.
En las instituciones educativas se designa al "conjunto de conocimientos, habilidades, destrezas y talentos
que posee una persona y la hacen apta para desarrollar actividades especficas"
Capital: cantidad de dinero o valor que produce inters o utilidad. Elemento o factor de la produccin formado
por la riqueza acumulada que en cualquier aspecto se destina de nuevo a aquella unin del trabajo y de
los agentes naturales.
Humano: relativo al hombre o propio de l.
Gestin: efectuar acciones para el logro de objetivos.
Competencia: aptitud; cualidad que hace que la persona sea apta para un fin. Suficiencia o idoneidad para
obtener y ejercer un empleo. Idneo, capaz, hbil o propsito para una cosa. Capacidad y disposicin para
el buen de desempeo. Estos trminos por separado no nos dan mucha claridad o luz de su utilizacin en la
administracin del RRHH, sin embargo veamos las interacciones que se suceden entre ellos.
Capital Humano: Es el aumento en la capacidad de la produccin del trabajo alcanzada con mejoras en las
capacidades de trabajadores. Estas capacidades realzadas se adquieren con el entrenamiento,
la educacin y la experiencia. Se refiere al conocimiento prctico, las habilidades adquiridas y las
capacidades aprendidas de un individuo que lo hacen potencialmente.
En sentido figurado se refiere al trmino capital en su conexin con lo que quiz sera mejor llamada la
"calidad del trabajo" es algo confuso. En sentido ms estricto del trmino, el capital humano no es
realmente capital del todo.
El trmino fue acuado para hacer una analoga ilustrativa til entre la inversin de recursos para aumentar
el stock del capital fsico ordinario (herramientas, mquinas, edificios, etc.) para aumentar la productividad del
trabajo y de la "inversin" en la educacin o el entrenamiento de la mano de obra como medios alternativos
de lograr el mismo objetivo general de incrementar la productividad.
La empresa es una entidad econmica donde se combinan dinmicamente factores que son necesarios
para el proceso de produccin, entre estos factores esenciales est el capital, el capital humano, el trabajo
y la direccin empresarial.
Auditoria de Sistemas TI
La gestin de los recursos humanos se encarga de obtener y coordinar a las personas de una
organizacin, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las
relaciones humanas.
Las fases por las que ha pasado la gestin de los RRHH son cuatro:
1. Administrativa: Es puramente burocrtico y acta sobre la disciplina y las remuneraciones. Las
medidas a adoptar son de tipo reactivo.
2. Gestin: Se empieza a considerar las necesidades de tipo social y sociolgico de las personas.
Las medidas a adoptar son de tipo pro activo.
3. Desarrollo: Se busca la conciliacin entre las necesidades de los trabajadores y las necesidades
econmicas de la empresa. Se considera que las personas son elementos importantes para la
empresa y se busca su motivacin y eficiencia.
4. Gestin estratgica de los RRHH: La gestin de los RRHH esta ligada a la estrategia de la
empresa. Los trabajadores son la fuente principal de la ventaja competitiva de la empresa. Esta
evolucin ha sido protagonizada por:
Objetivos de la gestin de recursos humanos
La entrevista de seleccin
Auditoria de Sistemas TI
En primer lugar hay que determinar la preparacin del entrevistador y seleccionarlo. Hay que programarse
la entrevista, y decidir los objetivos perseguidos con la misma. Hay que crear un ambiente apropiado, y
citar a los candidatos, generalmente por telfono, y hacer que no coincida en la sala de espera.
Conocimiento del puesto a cubrir y del perfil ideal. Hay que reconocer a cada candidato
-La gestin del desempeo est estrechamente vinculada a la evaluacin de las competencias, del
potencial y a los resultados obtenidos, lo que permite tener un estimado de cmo se est
desarrollando el trabajo a la vez que constituye un ente motivador del mismo y de su desempeo
respecto a las nuevas exigencias, que logre elevar la motivacin con nuevas formas de
estimulacin y contribuya a hacer coincidir las necesidades de los individuos que trabajan en la
organizacin con la misin y los objetivos de esta, dando respuesta en cuanto a eficiencia, eficacia
y efectividad.
La remuneracin parte de la valoracin de los puestos de trabajo y se basa en los resultados
obtenidos de forma individual y colectiva, por lo que tender a ser un componente variable
favoreciendo la eficacia que debe primar en las organizaciones.
Las promociones se apoyan cada vez ms en la competencia de los individuos, por lo que el
concepto de evaluacin del desempeo, de evaluacin del potencial y el desarrollo de carrera
prevn la evolucin futura de los recursos humanos dentro de la organizacin.
El diagnostico de la situacin actual busca analizar tanto el entorno como la empresa en si. El anlisis del
entorno tiene que ver con la totalidad de los sistemas que rodean a la empresa y que interactan con ella.
Interesa identificar le conjunto de elementos y actores formales e informales que afectan o pudieran
Auditoria de Sistemas TI
afectar sus operaciones y decisiones actuales o futuras. Se supone, por lo general que la empresa tiene
poca o ninguna posibilidad de dominio sobre el entorno donde se encuentra y actual.
La base del diagnstico organizacional es que, al igual que las personas, las empresas o instituciones
deben someterse a exmenes peridicos, para identificar posibles problemas antes de que estos se tornen
graves. Estos exmenes peridicos constituyen un sistema de control que permite optimizar el
funcionamiento de las empresas e instituciones, al identificar problemas en el funcionamiento de stas,
surgen acciones dirigidas a su eliminacin o disminucin, que en conjunto constituyen una parte
importante de la planeacin operativa.
Auditoria de Sistemas TI
Se debe notar que en un diagnstico se est evaluando el comportamiento de un sistema contra un
modelo normativo, aunque es posible que este modelo nunca sea definido en forma explcita. De la misma
manera que el mdico examina a un paciente y lo compara mentalmente con el funcionamiento de una
persona sana, el analista tiene un modelo mental de lo que debera ser su organizacin funcionando
correctamente. Esta analoga es muy clara, ya que el paciente (organizacin) proporciona una serie de
sntomas (funciones corporales alteradas) al mdico (analista de sistemas), el cual puede identificar la
enfermedad del paciente y proponer una terapia. En la figura N 1 Se muestra un diagrama que ejemplifica
la situacin anteriormente mencionada.
De aqu se puede ver que existen tres factores importantes a tomar en cuenta cuando se realiza un
diagnstico organizacional. Estos factores son muy importantes tanto para determinar la problemtica,
como para dar soluciones a la misma y son:
La situacin de la empresa dentro del contexto de su rama industrial.
La posicin de la empresa en el ciclo de vida de las organizaciones.
El sistema social que prevalece dentro de la empresa.
Adems desde un punto global, un diagnstico, aunque no necesariamente un Diagnstico
Organizacional, es el obligado punto de partida de un proceso de planeacin, en donde es necesario saber
dnde se est antes de decidir a dnde se quiere ir, y como se llegar a ese punto. La figura N 2 que se
muestra a continuacin describe el proceso de planeacin.
Asignar
recursos
Planes detallados
Diagnstico
(dnde se est)
Incentivos
Monitoreo y control
Auditoria de Sistemas TI
Como en todo sistema participativo, el proceso es tan importante como el resultado, ya que el espritu de
grupo generado y el conocimiento de las opiniones y problemas de otros componentes de la organizacin
son beneficios casi tan importantes como el de identificar y resolver el problema.
El procedimiento general del Diagnstico Organizacional consta de los siguientes pasos:
Seleccin del grupo de trabajo
Entrenamiento del grupo de trabajo
Generacin de sntomas individuales
Generacin de la lista colectiva
Proceso de sntesis y generacin de problemas
Clasificacin de problemas
Planteamiento de soluciones
Generacin de un plan de trabajo
Ningn sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de
acuerdo a esto, el control interno brinda una seguridad razonable en funcin de:
Costo beneficio:
Auditoria de Sistemas TI
Auditoria de Sistemas TI
La Gerencia se podra motivar a violarlos por las siguientes causas:
Cuando el ente est experimentando numerosos fracasos.
Cuando le falte capacidad de capital de trabajo o crdito.
Cuando la remuneracin de los administradores este ligada al resultado.
Cuando el ente se va a vender en base a sus ee.cc.
Cuando se obtienen beneficios en exponer resultados ms bajos.
Cuando la gerencia se encuentra bajo presin en cumplir sus objetivos.
Estructura organizacional
Establecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos
funcionales y as como la asignacin de responsabilidades y polticas de delegacin de autoridad.
Esto incluye la existencia de un departamento de control interno que dependa del mximo nivel de la
empresa.
Personal
Calidad e integridad del personal que esta encargado de ejecutar los mtodos y procedimientos
prescriptos por la gerencia para el logro de los objetivos. Proteccin de los activos y registros
Polticas adoptadas para prevenir la destruccin o acceso no autorizado a los activos, a los medios de
procesamiento de los datos electrnicos y a los datos generados. Adems incluye medidas por el cual el
sistema contable debe estar protegido ante la eventualidad de desastres ( incendio , inundacin, etc. )
Separacin de funciones
La segregacin de funciones incompatibles reduce el riesgo de que una persona este en condiciones tanto
de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para
evitar la colusin de fraudes son: autorizacin, ejecucin , registro, custodia de los bienes, realizacin de
conciliaciones.
Control circundante en el procesamiento electrnico de datos
El funcionamiento de los controles generales dependa la eficacia del funcionamiento de los controles
especficos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado.
Los controles generales en el procesamiento electrnico de datos ( PED ) tiene que ver con los siguientes
aspectos.
Organizacin
Auditoria de Sistemas TI
En cuanto a la organizacin dentro del mismo departamento, las siguientes funciones deben estar
segregadas:
Programacin del sistema operativo
Anlisis, programacin y mantenimiento
Operacin
Ingreso de datos
Control de datos de entrada / salida
Archivos de programas y datos.
Desarrollo y mantenimiento de sistemas
Las tcnicas de mantenimiento y programacin operativos del sistema deben estar normalizadas y
documentadas.
Operacin y procedimientos
Deben existir controles que aseguren el procesamiento exacto y oportuno de la informacin contable.
Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y
procesamiento
La funcin de control debe ser efectuada por un grupo especfico e independiente.
Instrucciones por escrito sobre la operacin de los equipos.
Solamente operadores de computador deben procesar los SIST OP.
Controles de equipos y programas del sistema
Debe efectuarse un control de los equipos:
Programacin del mantenimiento preventivo y peridico
Registro de fallas de equipos
Los cambios del sist. Op. Y la programacin.
Controles de acceso
El acceso al PED debe estar restringido en todo momento. Tambin debe controlarse:
El acceso los equipos debe estar restringido a aquellos autorizados
El acceso de la documentacin solo aquellos autorizados
El acceso a los archivos de datos y programas solo limitados a operadores
Funcin de Control;
Auditoria de Sistemas TI
En la auditoria Informtica; esta tiene funcin de vigilancia y evaluacin mediante dictmenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalan eficiencia, costos y la seguridad
con mayor visin, y realizan evaluaciones de tipo cualitativo.
Control interno informtico; Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurdico, la funciones del control interno es la siguientes determinar los propietarios y
los perfiles segn la clase de informacin, permitir a dos personas intervenir como medida de control,
realizar planes de contingencias, dictar normas de seguridad informtica, controla la calidad de software,
los costos, los responsables de cada departamento, control de licencias, manejo de claves De cifrado,
vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad
informtica. Metodologas de clasificacin de informacin y de obtencin de procedimientos de control;
Es establecer cules son las entidades de informacin a proteger, dependiendo del grado de importancia
de la informacin para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto lgico son programas que
brindar seguridad, las principales herramientas son las siguientes; seguridad lgica del sistema, seguridad
lgica complementaria del sistema, seguridad lgica en entornos distribuidos, control de acceso fsico,
control de copias, gestin de soporte magnticos, gestin de control de impresin y envo de listados por
red, control de proyectos y versiones , gestin de independencia y control de cambios. Y fsicos los
cifradores
Auditoria de Sistemas TI
El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto
de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta
significativamente las tcnicas a aplicar.
Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de
formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para control del cliente.
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los
escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el
Auditoria de Sistemas TI
trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversar y har preguntas "normales", que en realidad servirn para la complementacin sistemtica de
sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar
Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno
de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos
dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los
puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las
notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su
presencia.
Auditoria de Sistemas TI
2.2.2 Identificar las areas y fases que pueda cubrir la
auditoria de la seguridad
reas Generales
Explotacin
Interna
Direccin
Usuario
Seguridad
Desarrollo
Sistemas
Comunicaciones
Seguridad
Seguridad lgica.
Seguridad fsica.
Seguridad de las comunicaciones.
Auditoria de Sistemas TI
Realizar un anlisis de riesgos de los sistemas crticos.
Establecer un periodo crtico de recuperacin.
Realizar un anlisis de las aplicaciones crticas estableciendo periodos de proceso.
Establecer prioridades de proceso por das del ao de las aplicaciones y orden de los procesos.
Establecer objetivos de recuperacin que determine el periodo de tiempo entre la declaracin del
desastre y el momento en el que el centro alternativo puede procesar las aplicaciones crticas.
Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
Asegurar la capacidad de las comunicaciones.
Asegurar los servicios de bookup.
Tcnicas:
Observacin de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
Revisin analtica de: documentacin, polticas, normas, procedimientos de seguridad fsica y
contratos de seguros.
Entrevistas con directivos y personal.
Consultas a tcnicos y peritos.
Fases de la Auditoria:
Alcance de la Auditora
Adquisicin de Informacin General
Administracin y Planificacin
Plan de Auditora
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusin con los Responsables de rea
Informe Final
Auditoria de Sistemas TI
2.3.1 Reconocer
proveedor
las
caractersticas
que
debe
tener
un
El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las
condiciones en que se hizo la negociacin. El comprador es el responsable de las condiciones y
especificaciones contenidas en el pedido de compra.
Auditoria de Sistemas TI
Acompaamiento del pedido
Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material
se har dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un
acompaamiento o seguimiento del pedido, a travs de constantes contactos personales o telefnicos con
el proveedor, para conocer el avance de la produccin del material requerido, este seguimiento representa
una constante supervisin del pedido y una cobranza permanente de resultados, esto permite localizar
anticipadamente problemas y evitar sorpresas desagradables, pues a travs de el, compras puede
asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con
oreos proveedores.
Auditoria de Sistemas TI
Es un contrato entre el licenciante (autor/titular de los derechos de explotacin/distribuidor) y el
licenciatario del programa informtico (usuario consumidor /usuario profesional o empresa), para utilizar el
software cumpliendo una serie de trminos y condiciones establecidas dentro de sus clusulas.
Las licencias de software pueden establecer entre otras cosas: la cesin de determinados derechos del
propietario al usuario final sobre una o varias copias del programa informtico, los lmites en la
responsabilidad por fallos, el plazo de cesin de los derechos, el mbito geogrfico de validez del contrato
e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la
no cesin del programa a terceros o la no reinstalacin del programa en equipos distintos al que se instal
originalmente.
Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasa
quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del
software.
Titular de los derechos de explotacin: Es la persona natural o jurdica que recibe una cesin de
los derechos de explotacin de forma exclusiva del software desde un tercero, transformndolo en
titular derivado y licenciante del software.
Distribuidor: Es la persona jurdica a la cual se le otorga el derecho de distribucin y la posibilidad
de generar sublicencias del software mediante la firma de un contrato de distribucin con el titular
de los derechos de explotacin.
Garanta de titularidad
Es la garanta ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes
derechos de explotacin sobre el software como para permitirle proveer una licencia al licenciatario.
Licenciatario
El licenciatario o usuario-licenciatario es aquella persona fsica o jurdica que se le permite ejercer el
derecho de uso ms algn otro derecho de explotacin sobre un determinado software cumpliendo las
condiciones establecidas por la licencia otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la
cual, se encuentra en una posicin desventajosa ante los trminos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurdica que recibe una licencia de software otorgada por
el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus
derechos y deberes ante los trminos y condiciones establecidos en la licencia.
Auditoria de Sistemas TI
Elementos objetivos de una licencia de software
Plazo
El plazo determina la duracin en el tiempo durante la cual se mantienen vigentes los trminos y
condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en:
Licencias con plazo especfico.
Licencias de plazo indefinido.
Licencias sin especificacin de plazo.
Precio
El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la
cesin de derechos establecidos en la licencia.
Auditoria de Sistemas TI
El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el
software, la computadora sera un conjunto de medios sin utilizar.
Sus Componentes:
Procesamiento de texto
Bases de datos
Graficas
Servicios en lnea
Programas
Caractersticas del Hardware para tareas Especficas
Sus Componentes son:
Teclado
Mouse
CPU
Monitor
Impresora
Memoria ROM
Memoria RAM
Consta de:
1.- Evaluacin de los Sistemas
2.- Evaluacin de los equipos
Capacidades
Utilizacin
Seguridad y evaluacin fsica y lgica
3.- Evaluacin de la Seguridad
4.-La seguridad en la informtica
5.- La seguridad lgica
los
sistemas
de
En esta etapa se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el
anlisis.
Auditoria de Sistemas TI
Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales:
La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre s y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el
momento de la planeacin.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la
identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la
determinacin de los procedimientos de operacin y decisin.
Auditoria de Sistemas TI
Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est
obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est
obteniendo.
Anlisis de requisitos.
Diseo conceptual.
Eleccin del sistema gestor de bases de datos.
Diseo lgico.
Diseo fsico.
Instalacin y mantenimiento.
ANSI/TIA/EIA-568-A
Auditoria de Sistemas TI
Alambrado de Telecomunicaciones para Edificios Comerciales
Este estndar define un sistema genrico de alambrado de telecomunicaciones para edificios comerciales
que puedan soportar un ambiente de productos y proveedores mltiples.
El propsito de este estndar es permitir el diseo e instalacin del cableado de telecomunicaciones
contando con poca informacin acerca de los productos de telecomunicaciones que posteriormente se
instalarn.
La instalacin de los sistemas de cableado durante el proceso de instalacin y/o remodelacin son
significativamente ms baratos e implican menos interrupciones que despus de ocupado el edificio
Esta norma gua la seleccin de sistemas de cableado al especificar los requisitos mnimos de sistemas y
componentes, y describe los mtodos de pruebas de campo necesarios para satisfacer las normas.
Propsito del Estndar EIA/TIA 568-A:
Establecer un cableado estndar genrico de telecomunicaciones que respaldar un ambiente
multiproveedor.
Permitir la planeacin e instalacin de un sistema de cableado estructurado para construcciones
comerciales.
Establecer un criterio de ejecucin y tcnico para varias configuraciones de sistemas de cableado
El estndar especifica:
Requerimientos mnimos para cableado de telecomunicaciones dentro de un ambiente de oficina
Topologa y distancias recomendadas
Parmetros de medios de comunicacin que determinan el rendimiento
La vida productiva de los sistemas de telecomunicaciones por cable por ms de 10 aos (15
actualmente)
ANSI/TIA/EIA-568-B
El estndar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estndares
TIA/EIA-568-A que han quedado obsoletos.
TIA/EIA-568-B tres estndares que tratan el cableado comercial para productos y servicios de
telecomunicaciones. Los tres estndares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001.
El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecnico y de transmisin del
cable de fibra ptica, hardware de conexin, y cordones de conexin, incluyen el reconocimiento de la fibra
multi-modo y el uso de conectores de fibra de factor de forma pequeo
TIA/EIA 568-B.3
Cables de fibra
se reconoce la fibra de 50 mm
se reconocen tanto la fibra multimodo como la modo-simple para el rea de trabajo
Conectores de fibra
el conector 568SC dplex permanece como estndar en el rea de trabajo
otros conectores pueden se usados en otro sitios
Auditoria de Sistemas TI
Deben con Fiber Optic Connector Intermateability Standard (FOCIS)
La capa MAC, adems de la funcionalidad tpica de estas capas, realiza funciones que normalmente se
implementan en capas superiores: fragmentacin, retransmisin de paquetes, y asentimientos .Esto es as
debido a las caractersticas de los enlaces radio, con errores altos, que aconsejan un tamao pequeo de
los paquetes, pero debindose preservar desde el punto de vista de las capas superiores los paquetes de
1.518 bytes tpicos de Ethernet.
un
site
de
Auditoria de Sistemas TI
Este estndar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y
edificios:
Los edificios son dinmicos. Durante la existencia de un edificio, las remodelaciones son ms la
regla que la excepcin. Este estndar reconoce, de manera positiva, que el cambio ocurre.
Los sistemas de telecomunicaciones y de medios son dinmicos. Durante la existencia de un
edificio, los equipos de telecomunicaciones cambian dramticamente. Este estndar reconoce
este hecho siendo tan independiente como sea posible de proveedores de equipo.
Telecomunicaciones es ms que datos y voz. Telecomunicaciones tambin incorpora otros
sistemas tales como control ambiental, seguridad, audio, televisin, alarmas y sonido. De hecho,
telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan informacin en
los edificios.
A continuacin los rasgos sobresalientes de la Norma '569-A:
Objetivo
Estandarizar las prcticas de construccin y diseo.
Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida til de la
instalacin.
Alcance
Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones.
Trayectorias y espacios de telecomunicaciones dentro y entre edificios.
Diseo de edificios comerciales para viviendas unifamiliares y multifamiliares.
El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, an cuando ambos
no estn conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores,
Auditoria de Sistemas TI
aunque es ms frecuente encontrar el nombre ingls routers y, en ocasiones enrutadores. Los routers
trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo
de la funcin que se le asigne. Los firewalls actan sobre esta capa principalmente, para descartar
direcciones de mquinas.
Capa de transporte (Capa 4)
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la
mquina origen a la de destino, independizndolo del tipo de red fsica que se est utilizando. La PDU de
la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos
son TCP y UDP; el primero orientado a conexin y el otro sin conexin.
Capa de sesin (Capa 5)
Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que
estn transmitiendo datos de cualquier ndole.
Capa de presentacin (Capa 6)
El objetivo es encargarse de la representacin de la informacin, de manera que aunque distintos equipos
puedan tener diferentes representaciones internas de caracteres los datos lleguen de manera reconocible.
Capa de aplicacin (Capa 7)
Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las dems capas y define los
protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrnico (POP y SMTP),
gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones
distintas y puesto que continuamente se desarrollan nuevas aplicaciones el nmero de protocolos crece
sin parar.
Modelo TCP/IP
El Protocolo de Internet (IP) y el Protocolo de Transmisin (TCP), fueron desarrollados inicialmente en
1973 por el informtico estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero
norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigacin
(ARPA, siglas en ingls) del Departamento Estadounidense de Defensa. Internet comenz siendo una red
informtica de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y
laboratorios en investigacin en Estados Unidos. World Wibe Web se desarroll en 1989 por el informtico
britnico Timothy Berners-Lee para el Consejo Europeo de Investigacin Nuclear (CERN, siglas en
francs).
DEFINICION TCP / IP
Se han desarrollado diferentes familias de protocolos para comunicacin por red de datos para los
sistemas UNIX. El ms ampliamente utilizado es el Internet Protocol Suite, comnmente conocido como
TCP / IP.
Auditoria de Sistemas TI
Es un protocolo DARPA que proporciona transmisin fiable de paquetes de datos sobre redes. El nombre
TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el
Internet Protocol (IP). Todos juntos llegan a ser ms de 100 protocolos diferentes definidos en este
conjunto.
Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misin de cada capa es proveer servicios a las capas superiores hacindoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien
devuelve resultados.
Capa 4 o capa de aplicacin: Aplicacin, asimilable a las capas 5 (sesin), 6 (presentacin) y 7
(aplicacin) del modelo OSI.la capa de aplicacin deba incluir los detalles de las capas de sesin y
presentacin OSI. Crearon una capa de aplicacin que maneja aspectos de representacin, codificacin y
control de dilogo.
Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI.
Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI.
Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (fsica) y 2 (enlace de datos) del
modelo OSI.
Nota: Es importante tomar en la consideracin que los resultados del silbido de bala autoritariamente no
demuestran a que un anfitrin est abajo. En la luz de esto, si hay alguna duda si el target(s) est filtrado o
protegido con eficacia contra silbido de bala o est realmente abajo, recomendamos el continuar con una
exploracin portuaria. Mantenga el nmero de puertos tales exploraciones abajo que estas exploraciones
tiendan para tomar a una cantidad de tiempo ms larga. Si es necesario explorar una gran cantidad de
puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche.
Auditoria de Sistemas TI
En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos
y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier informacin de
la bandera disponible, y vulnerabilidades sabidas. Esta informacin es til durante la etapa de la
explotacin y para la presentacin al cliente de modo que el cliente sea enterado de las vulnerabilidades
en la red y la cantidad de informacin que un forastero puede recopilar antes de comprometer la red.
Identificacin del OSI
Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el
anfitrin y adaptar nuestras exploraciones del puerto basadas en esta informacin. Nmap, la herramienta
principal usada para realizar la identificacin del OS, hace esto analizando la respuesta del apilado del
TCP de la blanco a los paquetes que Nmap envi. Vario RFCs gobierna cmo el apilado del TCP debe
responder cuando est preguntado. Sin embargo, los detalles de la puesta en prctica se dejan al
vendedor. Por lo tanto, las diferencias en cmo los vendedores satisfacen el RFCs permiten que sean
identificados. Mientras que este mtodo no es a toda prueba, la deteccin del OS de Nmap es bastante
confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no
trivial, y no ha sido nuestra experiencia que las compaas realizan este nivel de enmascarar.
La identificacin del OS va una manera larga en la ejecucin de la enumeracin de la red y de la
exploracin de la vulnerabilidad. Tan pronto como sepamos el OS de una mquina particular, podemos
comenzar a generar una lista de agujeros y de vulnerabilidades potencialesa menudo de propio sitio del
Web del vendedor. Por ejemplo, tan pronto como sepamos una mquina es Windows NT, podemos
comprobar si el puerto 139 del TCP est abierto y procurar una conexin nula a la parte del IP. Si
identificamos una caja de UNIX, podemos buscar los puertos de X Windows (60006063).
Enumeracin Del Uso
De los resultados de la exploracin portuaria, ganamos una lista de puertos abiertos en las mquinas
receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los
puertos debajo de 1024 se han asignado a los varios servicios y si stos se encuentran abiertos, indican
generalmente el servicio asignado. Adems, otros usos se han funcionado en ciertos puertos para tan de
largo que se han convertido en el estndar de hecho, tal como puerto 65301 para el pcAnywhere y 26000
para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio
funciona encendido en una tentativa de ocultarla (un ejemplo de la seguridad con oscuridad). Por lo
tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del
servicio.
Investigacin Del Internet
Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qu
vulnerabilidades. Mientras que usted realiza pruebas de penetracin, usted hace familiar con ciertas
vulnerabilidades populares y puede determinarse rpidamente si un uso es vulnerable. Sin embargo, es
importante tener presente que las nuevas vulnerabilidades estn fijadas sobre una base diaria, y usted
debe comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos,
servicios, y sistemas operativos que usted encuentra en cada contrato.
Auditoria de Sistemas TI
2.7.6 Explicar la auditoria de la red fsica y lgica
Auditoria De La Red Fsica
Se debe garantizar que exista:
AUDITORIA LOGICA
En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
Auditoria de Sistemas TI
La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en
cada una de las siguientes facetas:
Este tipo de opinin es aplicable cuando el auditor concluye que existen una o varias de las circunstancias
que se relacionan en este apartado, siempre que sean significativas en relacin con las cuentas anuales
tomadas en su conjunto.
Opinin con Salvedades
En una opinin favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales
consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situacin
financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el
ejercicio, y contienen la informacin necesaria y suficiente para su interpretacin y comprensin adecuada.
Opinin Favorable:
Comparaciones e ndices
Mayores y diarios
Verbal
Control interno
Fsica
Documental
Analtica
Auditoria de Sistemas TI
Auditoria de Sistemas TI
Opinin Desfavorable
La opinin desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su
conjunto no presentan la imagen fiel del patrimonio, de la situacin financiera, del resultado de las
operaciones o de los cambios de la situacin financiera de la entidad auditada, de conformidad con los
principios y normas contables generalmente aceptados.
Opinin Denegada
Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinin sobre las cuentas
anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinin
sobre las mismas.
Despus de aplicar los procedimientos y tcnicas de auditora, siendo el ao 2008 auditado por otros
auditores emitiendo una opinin con salvedades, siendo esta:
Auditoria de Sistemas TI
Al 31 de diciembre de 2008 la empresa cuenta con una contingencia en concepto de penalizaciones por
concepto de software apcrifo para lo cual no se tiene provisin para dar cobertura a dicha contingencia.
De entre estas cuatro variables, tanto fortalezas como debilidades son internas de la organizacin,
por lo que es posible actuar directamente sobre ellas.
En cambio las oportunidades y las amenazas son externas, por lo que en general resulta muy
difcil poder modificarlas.
Fortalezas: son las capacidades especiales con que cuenta la empresa, y por los que cuenta con una
posicin privilegiada frente a la competencia.
Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan
positivamente, etc.
Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben
descubrir en el entorno en el que acta la empresa, y que permiten obtener ventajas competitivas.
Debilidades: son aquellos factores que provocan una posicin desfavorable frente a la competencia.
Recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan
positivamente, etc.
Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso
contra la permanencia de la organizacin.
Se utilizar para desarrollar un plan que tome en consideracin muchos y diferentes factores
internos y externos para as maximizar el potencial de las fuerzas y oportunidades minimizando
as el impacto de las debilidades y amenazas.
Auditoria de Sistemas TI
Auditoria de Sistemas TI
c) Contralora: La Secretara de Contralora y Desarrollo Administrativo.
d) Organismos Descentralizados del Sector Salud:
Las Entidades sectorizadas en el Sector Salud, es decir los Institutos Nacionales de Salud definidos por la
Ley de los Institutos Nacionales de Salud, as como el Hospital General de Mxico y el Hospital General
Dr. Manuel Gea Gonzlez, con personalidad jurdica y patrimonio propios, que tienen como objeto principal
la investigacin cientfica en el campo de la salud, la formacin y capacitacin de recursos humanos
calificados y la prestacin de servicios de atencin mdica de alta especialidad, y cuyo mbito de accin
comprende todo el territorio nacional.
e) Actividades de Investigacin: Las que se realicen con el propsito de generar conocimientos sobre la
salud o la enfermedad para su aplicacin inmediata o mediata en la atencin mdica.
f) Actividades de Enseanza: Las que contribuyen a la identificacin de necesidades de docencia,
elaboracin de planes de estudios, diseo e imparticin de cursos, tutoras y evaluacin de planes y
programas de estudio, en los niveles de pregrado, especializacin, subespecializacin, maestra y
doctorado, as como diplomados y educacin continua, en los diversos campos de la ciencia mdica.
g) Desarrollo Profesional: A las actividades cuyos resultados contribuyen a la capacitacin y
actualizacin tcnica del personal acadmico, como asistencia a cursos, simposia y congresos, estancias
de entrenamiento, estudios de posgrado, visitas a grupos y centros de investigacin o docencia, compra
de revistas, libros y organizacin de reuniones tcnicas y acadmicas.
h) Actividades de carcter acadmico: Las que incluyan la participacin especializada del personal,
como entrenamientos tcnicos, imparticin de conferencias, asesoras tcnicas y profesionales, evaluacin
de pruebas e instrumentos de investigacin, procesamiento y anlisis de muestras, anlisis estadsticos de
datos y servicios de informtica electrnica.
i) Actividades de carcter asistencial: Las relacionadas con la atencin mdica en el campo de su
especialidad.
j) Patronato: El rgano de apoyo de los rganos de Gobierno de las Entidades que contribuye a la
obtencin de recursos para coadyuvar en el cumplimiento de los objetivos institucionales y cuyo
funcionamiento se contiene en la Ley de Institutos Nacionales de Salud y en los decretos de creacin de
los hospitales generales.
k) Personal Acadmico: Todo aquel que realiza funciones directas o de apoyo en actividades acadmicas
de enseanza e investigacin.
l) Personal Operativo: Todo aquel no comprendido en el inciso anterior que realice funciones
asistenciales, de apoyo o de administracin en las actividades sustantivas y adjetivas de la Entidad.
m) Manual: Manual de Normas Presupuestarias para la Administracin Pblica Federal.
Auditoria de Sistemas TI
manera directa a los Organismos Descentralizados a travs de su patronato. Estos recursos constituyen
ingresos extraordinarios no programables aunque si proyectables; pueden o no estar etiquetados para un
fin especfico.
o) Disponibilidad: Son los recursos no ejercidos en el ejercicio fiscal de que se trate, por lo que al tmino
del mismo adquirieren el estatus de disponibilidad final y de disponibilidad inicial al comienzo de un nuevo
ejercicio fiscal; cuyos montos permanecern en la Tesorera del Organismo Descentralizado, y su ejercicio
estar sujeto a la autorizacin expresa de la
Secretara, en funcin de la normatividad presupuestaria aplicable.
p) Responsable del Proyecto: El Servidor Pblico designado por el Director General del Organismo
Pblico para fungir como encargado directo del desarrollo de un proyecto financiad con recursos externos
con fin especfico.
q) Proyecto especfico: El desarrollo articulado de actividades de enseanza o asistenciales u otras
actividades acadmicas con objetivos y metas precisas para lo cual el Organismo Descentralizado recibe
recursos externos con un fin determinado.
2. Registro e Informacin
a) Ningn servidor pblico del Organismo Descentralizado podr recibir a ttulo personal recursos
externos.
b) Los recursos externos en efectivo que reciba el Organismo Descentralizado se debern controlar en
registros contables y presupuestales, as como en cuentas bancarias independientes de los recursos
federales. Los recursos externos forman parte del presupuesto del Organismo Descentralizado, por lo que
su registro se deber consignar en el ingreso-gasto del flujo de efectivo correspondiente y por lo tanto
quedarn debidamente identificados en los reportes del sistema integral de informacin como ingresos
diversos.
c) Los recursos externos con fin determinado se administrarn como un proyecto especfico de enseanza,
asistencial o de otras actividades acadmicas o asistenciales aplicados durante el ejercicio fiscal en curso,
y su registro presupuestal se realizar conforme a las disposiciones establecidas por el Manual.
d) Aunque los recursos externos son de captacin extraordinaria, el Organismo Descentralizado realizar
una proyeccin o estimacin anual de su monto, as como de su probable ejercicio, para ser incorporados
como ingresos diversos en el flujo de efectivo del Anteproyecto de Presupuesto anual.
e) El Organismo Descentralizado deber informar en las sesiones ordinarias del rgano de Gobierno
sobre la captacin y aplicacin real de los recursos externos.
f) La Direccin de Administracin del Organismo Descentralizado ser responsable del adecuado manejo
de los recursos externos.
Auditoria de Sistemas TI
La Direccin de Administracin tendr las siguientes funciones en la administracin de recursos externos
con un fin especfico:
a) Informar al responsable del proyecto, dentro de las 24 horas siguientes a la captacin, del depsito y
registro de los recursos externos en las cuentas bancarias autorizadas del Organismo Descentralizado
para este fin.
b) Obtener y conservar por el tiempo que determinen las leyes, la documentacin comprobatoria de la
captacin y aplicacin de los recursos externos, para su verificacin e integracin.
c) Conservar permanentemente actualizados los registros contables y auxiliares por cada proyecto,
incluyendo activos fijos.
d) Proporcionar asesora en el mbito de su competencia a los responsables de cada proyecto.
e) Elaborar los informes financieros globales y por proyecto, con el nivel de detalle que requiera la
Coordinadora Sectorial, la Secretara y la Contralora, en todos los casos previa
Conciliacin con el responsable del proyecto.
4. Obligaciones del Responsable del Proyecto
Para todos los efectos legales, es obligacin de los responsables de los proyectos, lo siguiente:
a) Informar al Director General del Organismo Pblico Descentralizado sobre el avance y desarrollo del
proyecto.
b) Contratar al personal con cargo a los recursos externos que participe en el proyecto, a travs de la
Subdireccin de Administracin y Desarrollo de Personal, sujetndose a lo dispuesto en estos
Lineamientos y dems disposiciones legales aplicables. Estas contrataciones en razn de su naturaleza
civil, slo podrn hacerse bajo el rgimen de honorarios por tiempo o por obra determinada, por lo que los
contratos que los amparen slo consignarn el derecho al pago de los emolumentos convenidos sin
ninguna otra prestacin adicional, ni podrn pagarse con recursos fiscales o transformarse en plazas
presupuestarias. Ningn contrato de honorarios podr exceder el 31 de diciembre de cada ejercicio fiscal.
c) Validar los informes sobre el avance financiero del proyecto que elabore la Direccin de Administracin
del Organismo Descentralizado, en los trminos requeridos por el rgano de Gobierno, la Coordinadora
Sectorial, la Secretara o la Contralora.
d) Integrar el informe de avance fsico del proyecto, en los trminos requeridos por el rgano de Gobierno,
la Coordinadora Sectorial, la Secretara o la Contralora.
e) Fijar, en coordinacin con el aportante de los recursos y el Organismo Descentralizado, los trminos y
condiciones para la distribucin de los recursos del proyecto en gastos de operacin, servicios personales
y gastos de inversin; en todos los casos se incluir una cantidad que no exceda de 15% del total del
monto del proyecto como aportacin al Organismo Descentralizado, para cubrir los costos de
administracin del proyecto.
Auditoria de Sistemas TI
f) Vigilar que los recursos externos asignados al proyecto sean suficientes para su conclusin; de ninguna
manera se le podr asignar recursos fiscales o propios.
5. De los Convenios para el ejercicio de recursos externos con fin especfico
a) El Organismo Descentralizado y el aportante de los recursos externos decidirn sobre la viabilidad de
suscribir convenios para el ejercicio de recursos externos con fin especfico que sealen las metas,
resultados a obtener y el monto de los recursos aportados, as como la periodicidad de la informacin que
deber entregarse al aportante.
b) Los convenios sern suscritos por el Director General del Organismo Descentralizado previo dictamen
favorable de su rea jurdica, y de ninguna manera podrn incluir condiciones que contravengan los
objetivos del Organismo Descentralizado.
c) El Director General del Organismo Descentralizado deber informar al rgano de Gobierno de la
suscripcin, objetivos, montos y duracin de los convenios establecidos.
Captulo II
Del control de los recursos externos y su ejercicio
5. El gasto derivado de recursos externos con o sin fin especfico se sujetar en su ejercicio y control a lo
dispuesto por la normatividad vigente, incluida la adquisicin de bienes y servicios, ejecucin de obra
pblica y servicios personales.
6. El proceso de registro, aplicacin e informacin de los recursos externos a que se refieren estos
Lineamientos podr ser sujeto de revisiones por las diferentes instancias fiscalizadoras.
7. El responsable del proyecto dispondr de hasta el 85% de los recursos externos obtenidos y asignados
a sufragar las erogaciones necesarias para el cumplimiento de los objetivos del proyecto. La disposicin
de estos recursos se sujetar a lo referido en el numeral 10 de estos Lineamientos.
8. El 15% de los recursos externos obtenidos o asignados a un proyecto con fin especfico, se destinar a
los gastos de administracin directos e indirectos siguientes:
a) Cubrir el costo administrativo del proyecto.
b) El costo por la utilizacin de la infraestructura del Organismo Descentralizado.
c) El gasto generado por mantenimiento y conservacin de las instalaciones del Organismo
Descentralizado.
d) El Director General del Organismo Descentralizado podr autorizar, en casos especficos y previa
solicitud del responsable del proyecto y con la validacin de la Direccin de Administracin del Organismo
Descentralizado, la disminucin o eliminacin del referido porcentaje, cuando las necesidades y
caractersticas del proyecto as lo requiera. De lo anterior deber informar al rgano de Gobierno.
9. Los recursos externos que perciba el Organismo Descentralizado y los productos financieros que stos
generen debern manejarse conforme a las disposiciones vigentes sobre disponibilidades financieras.
Auditoria de Sistemas TI
10. Todo gasto efectuado con recursos externos, deber estar amparado con la documentacin
comprobatoria correspondiente, debidamente requisitada conforme a los procedimientos y polticas
establecidas en los manuales de operacin del Organismo Descentralizado y en la normatividad
presupuestaria y fiscal aplicable.
11. Las erogaciones correspondientes a los recursos externos se efectuarn a travs de la Direccin de
Administracin, a excepcin de los gastos de carcter urgente, los que podrn realizarse por el
responsable del proyecto, previa autorizacin de la Direccin de Administracin.
En ningn caso el monto del gasto urgente podr ser mayor al 10% del costo total del proyecto.
12. La documentacin comprobatoria de los gastos se deber presentar a la Direccin de Administracin
por el responsable del proyecto a ms tardar dentro de los quince das naturales siguientes al ejercicio de
los recursos.
Captulo III
De los recursos humanos
13. El responsable del proyecto propondr al Director General del Organismo Descentralizado, al personal
del mismo Organismo Descentralizado que colaborar en el desarrollo del mismo, indicando las
actividades, remuneracin asignada y la duracin del proyecto. La relacin de personal deber contar con
el visto bueno del director o responsable del rea de que se trate.
14. Para la ejecucin de los proyectos con fin especfico, las contrataciones del personal del Organismo
Descentralizado sern realizadas por tiempo u obra determinada mediante un contrato de honorarios,
conforme a la legislacin y disposiciones presupuestarias y fiscales vigentes.
15. El personal del Organismo Descentralizado que participe en el desarrollo de proyectos Financiados
con recursos externos, tendr definidas las funciones a realizar; en contraprestacin recibir una
remuneracin. Esta participacin siempre requerir la opinin favorable de las reas jurdicas y de
recursos humanos, quienes definirn, conforme a norma, los tiempos dentro o fuera de la jornada laboral.
16. Toda remuneracin a los servidores pblicos derivada de recursos externos, deber considerar la
retencin y entero de los impuestos correspondientes, de conformidad con las disposiciones fiscales y
laborales aplicables. Dicho pago ser independiente y no crear derechos para el trabajador, ni
responsabilidad de tipo laboral o salarial para el Organismo Descentralizado
17. La remuneracin al personal del Organismo Descentralizado que participe en el desarrollo de
proyectos o actividades financiados con recursos externos, en ningn caso podr rebasar los montos
mximos de remuneracin salarial establecidos por las disposiciones normativas vigentes; lo que se har
de la siguiente manera:
A. Para mandos medios y superiores:
a) Podrn recibir compensacin los mandos medios (jefes de departamento, subdirectores y directores de
rea) y superiores (director general) cuando participen directamente en un proyecto con fin especfico,
Auditoria de Sistemas TI
siempre que esas actividades no vayan en detrimento de las funciones que tengan asignadas por la plaza
presupuestaria que ocupen.
b) El monto mximo de compensacin global mensual, del total de proyectos en los que participen, ser
hasta 1.5 veces el salario integrado vigente de la plaza que ocupe.
B. Para el personal acadmico:
a) El monto mximo de compensacin global mensual, del total de proyectos en los que participen, ser
hasta 1.5 veces de su salario integrado vigente.
C. Para el personal operativo:
a) El monto mximo de compensacin global mensual, del total de proyectos en los que participen, ser
hasta 1.5 veces su salario vigente.
18. El monto mximo de remuneracin mensual se asignar con base en la responsabilidad dentro del
proyecto y el tiempo adicional a su jornada laboral la cual no podr ser mayor a cuatro horas diarias. El
personal que participe en el desarrollo de un proyecto especfico estar sujeto a los controles establecidos
por el Organismo Descentralizado.
Captulo IV
Del Activo Fijo
19. Los bienes muebles e inmuebles adquiridos con recursos externos, en todos los casos, formarn parte
del patrimonio del Organismo Descentralizado, por lo que debern estar debidamente inventariados y
resguardados conforme a la normatividad vigente.
Transitorios
PRIMERO. Estos lineamientos entrarn en vigor el 1 de enero de 2003.
SEGUNDO. Los presentes lineamientos se aplicarn a los recursos que se reciban a partir de su entrada
en vigor, los estudios o trabajos que actualmente se vienen realizando con aportaciones externas se
ajustarn en un plazo no mayor de 180 das naturales despus de su entrada en vigor.
TERCERO. Se concede un plazo de 90 das naturales para que se actualice el manual de procedimientos
para el registro, operacin e informacin sobre recursos externos.
Auditoria de Sistemas TI
cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras,
que obstaculizan flujos de informacin eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una
empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los
mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de
recuperacin ante una contingencia.
Los objetivos de la auditora Informtica son:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protection y Seguridad.
Planes de continuidad y Recuperacin de desastres
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las
ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de
un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos)
para no perder la certificacin